Легковесный текстовый редактор Lite XL, написанный на языках Lua и C и работающий на платформах Windows, Linux и macOS, содержит опасную уязвимость, позволяющую выполнение произвольного кода. Исследователи кибербезопасности обнаружили недостатки в обработке редактором проектных конфигурационных файлов, что потенциально подвергает пользователей риску выполнения вредоносного кода при открытии ненадежных проектов.
Детали уязвимости
Основная проблема, зарегистрированная как CVE-2025-12120, затрагивает версии 2.1.8 и более ранние. Ей присвоена высокая степень опасности по шкале CVSS. Эта уязвимость возникает из-за автоматического выполнения файлов .lite_project.lua без подтверждения пользователя. Конкретно, когда пользователи открывают директорию проекта, Lite XL автоматически загружает и выполняет Lua-конфигурационный модуль проекта.
Данное поведение, хотя и предназначено для легитимной проектной конфигурации, создает вектор атаки для злоумышленников. Например, злоумышленник может создать вредоносный проект, содержащий специально разработанный файл .lite_project.lua с исполняемым Lua-кодом. Следовательно, когда ничего не подозревающий пользователь открывает такой проект в Lite XL, вредоносный код выполняется автоматически с теми же привилегиями, что и процесс самого редактора.
Эта уязвимость особенно тревожна, поскольку пользователи могут клонировать репозитории из источников, которые считают доверенными, или загружать проектные архивы с платформ совместной работы, не осознавая потенциальной угрозы от встроенного Lua-кода. Беспрепятственное автоматическое выполнение означает, что пользователи не получают предупреждения и не имеют возможности проверить код до его запуска.
Безопасностные последствия существенны для разработчиков, работающих с множеством проектов из различных источников. Злоумышленник может использовать данную уязвимость для установки постоянного доступа, извлечения исходного кода или учетных данных, внедрения бэкдоров в текущие проекты или запуска атак по цепочке поставок путем компрометации машин разработчиков. Соответственно, риск усиливается в командных средах, где разработчики совместно работают над проектами, полученными из различных репозиториев.
Команда разработчиков Lite XL устранила эти уязвимости через два критических Pull Request. PR #1472 реализует механизм проверки доверия для проектных модулей, предотвращая автоматическое выполнение Lua-кода ненадежными проектами. Дополнительно, PR #1473 удаляет устаревшую функцию exec, которая представляла дополнительные риски безопасности. Эти исправления гарантируют, что проекты не могут выполнять код без явного разрешения пользователя.
Пользователям настоятельно рекомендуется немедленно обновить Lite XL до последней версии. Обновленная версия вводит запросы безопасности, требующие от пользователей подтверждения выполнения проектного модуля до запуска кода. Этот дополнительный уровень подтверждения помогает предотвратить случайное выполнение вредоносного кода. Тем временем, разработчикам следует соблюдать осторожность при открытии проектов из ненадежных источников до развертывания обновления в их рабочих средах.
Исследователь безопасности Догуc Демиркиран сообщил об уязвимостях, которые также были независимо идентифицированы пользователем GitHub Summertime. Коллаборативный процесс раскрытия информации подчеркивает важность ответственного сообщения об уязвимостях для защиты сообществ разработчиков. В конечном счете, своевременное обновление программного обеспечения остается ключевой мерой предотвращения эксплуатации известных уязвимостей в инструментах разработки.
Ссылки
- https://github.com/lite-xl/lite-xl/pull/2163
- https://github.com/lite-xl/lite-xl/pull/2164
- https://bend0us.github.io/vulnerabilities/lite-xl-rce/
- https://kb.cert.org/vuls/id/579478
